Je voudrais autoriser l’authentification par mot de passe SSH à partir d’un certain sous-réseau uniquement. Je vois l'option de le refuser globalement dans /etc/ssh/sshd_config :
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
Existe-t-il un moyen d'appliquer cette configuration à une plage d'adresses IP sélectionnée?
Utilisez un bloc Match à la fin de /etc/ssh/sshd_config :
# Global settings
…
PasswordAuthentication no
…
# Settings that override the global settings for matching IP addresses only
Match address 192.0.2.0/24
PasswordAuthentication yes
Puis dites au service sshd de recharger sa configuration:
service ssh reload
vous pouvez ajouter:
AllowUsers [email protected]*.*, [email protected]*.*
cela modifie le comportement par défaut, refuse vraiment tous les autres utilisateurs de tous les hôtes. Bloc de correspondance disponible sur OpenSsh version 5.1 et supérieure.
Lire d'autres questions sur les étiquettes ssh password authentication configuration security